Цифровые сертификаты
При использовании асимметричных методов шифрования (и, в частности, электронной цифровой подписи) необходимо иметь гарантию подлинности пары (имя пользователя, открытый ключ пользователя). Для решения этой задачи в спецификациях X.509 вводятся понятия цифрового сертификатаиудостоверяющего центра.
Удостоверяющий центр– это компонентглобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей. Открытые ключи и другая информация о пользователях хранится удостоверяющими центрами в виде цифровых сертификатов, имеющих следующую структуру:
порядковый номер сертификата;
идентификатор алгоритма электронной подписи;
имя удостоверяющего центра;
срок годности;
имя владельца сертификата (имя пользователя, которому принадлежит сертификат);
открытые ключи владельца сертификата (ключей может быть несколько);
идентификаторы алгоритмов, ассоциированных с открытыми ключами владельца сертификата;
электронная подпись, сгенерированная с использованием секретного ключа удостоверяющего центра (подписывается результат хэширования всей информации, хранящейся в сертификате).
Цифровые сертификаты обладают следующими свойствами:
любой пользователь, знающий открытый ключ удостоверяющего центра, может узнать открытые ключи других клиентов центра и проверить целостность сертификата;
никто, кроме удостоверяющего центра, не может модифицировать информацию о пользователе без нарушения целостности сертификата.
В спецификациях X.509 не описывается конкретная процедура генерации криптографических ключей и управления ими, однако даются некоторые общие рекомендации. В частности, оговаривается, что пары ключей могут порождаться любым из следующих способов:
ключи может генерировать сам пользователь. В таком случае секретный ключ не попадает в руки третьих лиц, однако нужно решать задачу безопасной связи с удостоверяющим центром;
ключи генерирует доверенное лицо. В таком случае приходится решать задачи безопасной доставки секретного ключа владельцу и предоставления доверенных данных для создания сертификата;
ключи генерируются удостоверяющим центром. В таком случае остается только задача безопасной передачи ключей владельцу.
Цифровые сертификаты в формате X.509 версии 3 стали не только формальным, но и фактическим стандартом, поддерживаемым многочисленными удостоверяющими центрами.
12. Лекция: Экранирование, анализ защищенности
Экранирование
Основные понятия
Формальная постановка задачи экранирования, состоит в следующем. Пусть имеется два множества информационных систем.Экран– это средстворазграничения доступаклиентов из одного множества к серверам из другого множества.Экраносуществляет свои функции, контролируя все информационные потоки между двумя множествами систем (рис. 12.1). Контроль потоков состоит в ихфильтрации, возможно, с выполнением некоторых преобразований.
Рис. 12.1. Экран как средство разграничения доступа.
На следующем уровне детализации экран(полупроницаемую мембрану) удобно представлять как последовательностьфильтров. Каждый изфильтров, проанализировав данные, может задержать (не пропустить) их, а может и сразу "перебросить" заэкран. Кроме того, допускается преобразование данных, передача порции данных на следующийфильтрдля продолжения анализа или обработка данных от имени адресата и возврат результата отправителю (рис. 12.2).
Рис. 12.2. Экран как последовательность фильтров.
Помимо функций разграничения доступа,экраныосуществляютпротоколированиеобмена информацией.
Обычно экранне является симметричным, для него определены понятия "внутри" и "снаружи". При этом задачаэкранированияформулируется как защита внутренней области от потенциально враждебной внешней. Так,межсетевые экраны (МЭ)(предложенный автором перевод английского термина firewall) чаще всего устанавливают для защиты корпоративной сети организации, имеющей выход в Internet (см. следующий раздел).
Экранированиепомогает поддерживатьдоступностьсервисов внутренней области, уменьшая или вообще ликвидируя нагрузку, вызванную внешней активностью. Уменьшается уязвимость внутренних сервисов безопасности, поскольку первоначально злоумышленник должен преодолетьэкран, где защитные механизмы сконфигурированы особенно тщательно. Кроме того, экранирующая система, в отличие от универсальной, может быть устроена более простым и, следовательно, более безопасным образом.
Экранированиедает возможность контролировать также информационные потоки, направленные во внешнюю область, что способствует поддержанию режимаконфиденциальностив ИС организации.
Подчеркнем, что экранированиеможет использоваться как сервис безопасности не только в сетевой, но и в любой другой среде, где происходит обмен сообщениями. Важнейший пример подобной среды – объектно-ориентированные программные системы, когда для активизации методов объектов выполняется (по крайней мере, в концептуальном плане) передача сообщений. Весьма вероятно, что в будущих объектно-ориентированных средахэкранированиестанет одним из важнейших инструментовразграничения доступак объектам.
Экранированиеможет быть частичным, защищающим определенные информационные сервисы.Экранированиеэлектронной почты описано в статье "Контроль над корпоративной электронной почтой: система "Дозор-Джет"" (Jet Info, 2002, 5).
Ограничивающий интерфейстакже можно рассматривать как разновидностьэкранирования. На невидимый объект трудно нападать, особенно с помощью фиксированного набора средств. В этом смысле Web-интерфейс обладает естественной защитой, особенно в том случае, когда гипертекстовые документы формируются динамически. Каждый пользователь видит лишь то, что ему положено видеть. Можно провести аналогию между динамически формируемыми гипертекстовыми документами и представлениями в реляционных базах данных, с той существенной оговоркой, что в случае Web возможности существенно шире.
Экранирующая роль Web-сервисанаглядно проявляется и тогда, когда этот сервис осуществляет посреднические (точнее, интегрирующие) функции при доступе к другим ресурсам, например таблицам базы данных. Здесь не только контролируются потоки запросов, но и скрывается реальная организация данных.